Sécurité & traitement des données
Architecture de confiance.
La conformité LCB-FT implique le traitement de données identifiantes pour les opérations de vigilance, de screening et de vérification. Cette page documente, opération par opération, les flux de données, les bases légales applicables, ainsi que les engagements contractuels de nos sous-traitants. L'objectif : répondre aux exigences de votre comité de risque et faciliter votre due diligence interne.
Mode de déploiement
Recommandé · UE
Tous les composants opérés par des fournisseurs européens, sous juridiction RGPD.
Données traitées par opération.
Pour chaque action exécutée par l'agent, le tableau ci-dessous précise les données transmises au modèle d'IA, leur finalité, et les protections appliquées. Ce référentiel fait foi dans le cadre de notre DPA.
| Opération | Données transmises au LLM | Justification | Protections |
|---|---|---|---|
Question réglementaire (RAG) | Aucune | L'agent travaille uniquement sur le corpus juridique indexé (AMLR, CMF, ACPR…) et la question elle-même. | Aucune donnée client transmise. Endpoints au choix du mode. |
Recherche d'article par numéro | Aucune | Lookup pur sur le RAG, pas de contexte client. | Idem. |
Screening adverse media | Nom, prénom · parfois date de naissance, pays | Nécessaire pour interroger les sources publiques (presse, justice, sanctions internationales) et corréler les éléments identifiants. | Endpoints UE (Mistral) ou DPA + SCC (Anthropic). Aucune utilisation pour entraînement. Audit signé SHA-256. Rétention 12 mois pour la trace, 0 jour chez le fournisseur LLM (clause ZDR). |
Vérification listes de sanctions | Nom + alias éventuels | Recherche déterministe sur listes officielles (DG Trésor, UE, ONU, OFAC). | Match SQL natif sans intervention IA. Le modèle n'est mobilisé qu'en levée d'ambiguïté sur les alias, sans données contextuelles supplémentaires. |
Vérification PEP | Nom + fonction publique présumée | Recherche heuristique sur sources publiques (presse institutionnelle, registres officiels). | Mêmes garanties contractuelles que le screening adverse media. |
OCR pièce d'identité | Image de la pièce (nom, date de naissance, n° de document, adresse) | L'extraction structurée des informations d'une pièce d'identité suppose la lecture du document. | Modèles vision Claude ou Mistral avec clause ZDR. L'image n'est pas conservée par le fournisseur. Le résultat structuré (JSON) est archivé dans votre système. |
Examen de Diligence Approfondie (EDD) | Profil client complet (KYC personne physique ou KYB personne morale) | L'analyse de risque approfondie évalue les attributs concrets du sujet. | Mode Sovereign EU disponible (Mistral hébergé France). Audit signé par appel. Le profil reste votre propriété ; nous le traitons et restituons l'analyse. |
Rédaction de déclaration de soupçon | Identité du sujet + faits déclencheurs | Une déclaration de soupçon Tracfin doit identifier le sujet (article R.561-31 CMF). | Génération en mode brouillon, jamais transmise automatiquement à Tracfin. Validation et soumission ERMES sous votre responsabilité. |
Évaluation de risque (scoring) | Attributs du profil — pseudonymisation disponible | Le calcul de score repose sur des facteurs structurés (pays, secteur, volumes, ancienneté). L'identité n'est pas requise par l'algorithme. | Mode pseudonyme activable : substitution du nom par un hash avant envoi LLM. Le score reste mappable côté client via la clé de hash conservée localement. |
Génération de procédure / formation | Aucune (paramètres organisation uniquement) | Sortie générique adaptée à votre secteur. | Aucune donnée client. |
Légende : aucune donnée personnelle · pseudonymisable · identité réelle requise
Détail des composants
| Composant | Solution | Fournisseur | Localisation |
|---|---|---|---|
| Inférence LLM | Mistral Large | Mistral AI | France |
| Embeddings | BGE-M3 | Self-hosted (TEI) | OVHcloud · Roubaix |
| Vector DB | pgvector | Supabase | Frankfurt · eu-central-1 |
| Stockage relationnel | Postgres + S3 | Supabase + Scaleway | Paris |
Conditions du mode
Sovereign EU
Banques, fintechs et régulés EU/UK exigeant la souveraineté.
- RGPD natif
- Hébergement HDS-ready
- Pas de Cloud Act US
Engagements communs aux trois modes
- Aucune donnée client utilisée pour entraîner les modèles (clauses ZDR contractuelles avec Anthropic, Mistral, OpenAI).
- Audit trace signé SHA-256 par appel — exportable JSON pour les contrôles ACPR.
- Chiffrement TLS 1.3 en transit, AES-256 au repos.
- Rétention LLM : 0 jour chez le fournisseur (ZDR). Rétention de la trace d'audit : 5 ans (obligation article L.561-12 CMF).
- Mode pseudonyme optionnel pour le scoring de risque (hash du nom avant envoi LLM).
- DPA + SCC + DPIA fournis sur demande (voir /dpa).
Base légale du traitement
Pourquoi le RGPD autorise le traitement.
La LCB-FT n'est pas une option commerciale : c'est une obligation légale (Code monétaire et financier, articles L.561-1 et suivants ; règlement AMLR (UE) 2024/1624). À ce titre, le traitement de données personnelles dans le cadre d'un screening, d'une EDD ou d'une déclaration de soupçon est fondé sur deux bases légales cumulatives au sens du RGPD :
- Article 6.1.c RGPD — obligation légale : respect des obligations LCB-FT par les assujettis (article L.561-2 CMF).
- Article 6.1.f RGPD — intérêt légitime : lutte contre la criminalité financière, considérant 6 du règlement AMLR.
- Article L.561-12 CMF — conservation 5 ans des informations relatives aux opérations et clients ; obligation qui prime sur le droit à l'effacement RGPD pour les données couvertes.
En tant que sous-traitant au sens de l'article 28 RGPD, nous agissons sur instructions documentées de l'assujetti. Vous restez responsable du traitement (article 4.7 RGPD). Le détail des engagements réciproques figure dans le DPA (Data Processing Agreement) — disponible sur /dpa.
Vous avez des contraintes spécifiques (TISAX, ISO 27001, AMLA on-premise) ?
Discuter de votre architecture